Sie befinden sich hier:

EDSA veröffentlicht Stellungnahme zur Verwendung personenbezogener Daten bei KI-Modellen

Der Europäische Datenschutzausschuss (EDSA) hat am 17. Dezember 2024 eine Stellungnahme zur Verwendung personenbezogener Daten für die Entwicklung und Einführung von KI-Modellen angenommen.

Die irische Datenschutzaufsichtsbehörde hat den EDSA gemäß Art. 64 Abs. 2 DSGVO gebeten, eine Stellungnahme zur Verarbeitung personenbezogener Daten im Rahmen der Entwicklungs- und Einsatzphasen von Modellen der Künstlichen Intelligenz (KI) abzugeben. Im Einzelnen wurde gefragt:

  1. wann und wie ein KI-Modell als „anonym“ betrachtet werden kann;
  2. wie Verantwortliche die Angemessenheit des berechtigten Interesses als Rechtsgrundlage in der Entwicklungs- und
  3. Einsatzphase nachweisen können; und
  4. welche Folgen die rechtswidrige Verarbeitung personenbezogener Daten in der Entwicklungsphase eines KI-Modells für die nachfolgende Verarbeitung oder den Betrieb des KI-Modells hat.

In Bezug auf die erste Frage wird in der Stellungnahme erwähnt, dass Ansprüche auf Anonymität eines KI-Modells von den zuständigen Aufsichtsbehörden von Fall zu Fall beurteilt werden sollten, da der EDSA der Ansicht ist, dass mit personenbezogenen Daten trainierte KI-Modelle nicht in allen Fällen als anonym angesehen werden können. Damit ein KI-Modell als anonym angesehen werden kann, sollten sowohl

  • die Wahrscheinlichkeit einer direkten (einschließlich probabilistischen) Extraktion personenbezogener Daten von Personen, deren personenbezogene Daten zur Entwicklung des Modells verwendet wurden, als auch
  • die Wahrscheinlichkeit, dass solche personenbezogenen Daten absichtlich oder nicht durch Abfragen erlangt werden, unbedeutend sein, wobei „alle Mittel zu berücksichtigen sind, die der Verantwortliche oder eine andere Person vernünftigerweise wahrscheinlich nutzen wird“.

Bei der Erstellung ihrer Bewertung sollten die Aufsichtsbehörden die vom Verantwortlichen bereitgestellte Dokumentation zum Nachweis der Anonymität des Modells prüfen. In dieser Hinsicht enthält die Stellungnahme eine nicht verbindliche und nicht abschließende Liste von Methoden, die von Verantwortlichen zum Nachweis der Anonymität verwendet werden können und die somit von den Aufsichtsbehörden bei der Bewertung des Anonymitätsanspruchs eines Verantwortlichen berücksichtigt werden können. Dies umfasst beispielsweise die Ansätze, die von den Verantwortlichen während der Entwicklungsphase verfolgt werden, um die Erhebung von für Schulungszwecke verwendeten personenbezogenen Daten zu verhindern oder einzuschränken, ihre Identifizierbarkeit zu verringern, ihre Extraktion zu verhindern oder Zusicherungen hinsichtlich der Widerstandsfähigkeit gegen Angriffe nach dem neuesten Stand der Technik zu geben.

In Bezug auf die zweite und dritte Frage enthält die Stellungnahme allgemeine Erwägungen, welche die Aufsichtsbehörden bei der Beurteilung berücksichtigen sollten, ob sich Verantwortliche auf ein berechtigtes Interesse bezüglich der Verarbeitung personenbezogener Daten für die Entwicklung und den Einsatz von KI-Modellen stützen kann.

In der Stellungnahme wird daran erinnert, dass zwischen den in der DSGVO vorgesehenen Rechtsgrundlagen keine Hierarchie besteht und dass es den Verantwortlichen obliegt, die geeignete Rechtsgrundlage für ihre Verarbeitungstätigkeiten zu ermitteln. Anschließend wird in der Stellungnahme an den dreistufigen Test erinnert, der bei der Beurteilung der Verwendung eines berechtigten Interesses als Rechtsgrundlage durchgeführt werden sollte, d. h. (1) Ermittlung des vom Verantwortlichen oder einem Dritten verfolgten berechtigten Interesses; (2) Analyse der Notwendigkeit der Verarbeitung für die Zwecke des verfolgten berechtigten Interesses (auch „Erforderlichkeitstest“ genannt); und (3) Beurteilung, ob das berechtigte Interesse nicht durch die Interessen oder

Grundrechte und -freiheiten der betroffenen Personen außer Kraft gesetzt wird (auch „Abwägungstest“ genannt).

In Bezug auf die vierte Frage wird in der Stellungnahme allgemein daran erinnert, dass Aufsichtsbehörden über Ermessensspielraum verfügen, um die möglichen Verstöße zu beurteilen und unter Berücksichtigung der Umstände des jeweiligen Einzelfalls geeignete, notwendige und verhältnismäßige Maßnahmen zu wählen. Anschließend werden in der Stellungnahme drei Szenarien erörtert:

  • Im Szenario 1 werden personenbezogene Daten im KI-Modell gespeichert (was bedeutet, dass das Modell nicht als anonym betrachtet werden kann, wie in der ersten Frage erläutert) und anschließend vom selben Verantwortlichen verarbeitet werden (beispielsweise im Rahmen der Bereitstellung des Modells). In der Stellungnahme des EDSA heißt es, dass je nach Kontext des Falls im Einzelfall beurteilt werden sollte, ob die Entwicklungs- und Bereitstellungsphasen unterschiedliche Zwecke verfolgen (und somit unterschiedliche Verarbeitungsvorgänge darstellen) und inwieweit sich das Fehlen einer Rechtsgrundlage für die anfängliche Verarbeitungstätigkeit auf die Rechtmäßigkeit der nachfolgenden Verarbeitung auswirkt.
  • Im Szenario 2 bleiben personenbezogene Daten im Modell erhalten und werden im Rahmen der Bereitstellung des Modells von einem anderen Verantwortlichen verarbeitet. In diesem Zusammenhang heißt es in der Stellungnahme, dass Aufsichtsbehörden berücksichtigen sollten, ob der Verantwortliche, der das Modell bereitstellt, im Rahmen seiner Rechenschaftspflichten zur Feststellung der Einhaltung von Art. 5 Abs. 1 Buchstabe a und Artikel 6 DSGVO eine angemessene Bewertung durchgeführt hat, um sicherzustellen, dass das KI-Modell nicht durch rechtswidrige Verarbeitung personenbezogener Daten entwickelt wurde. Bei dieser Bewertung sollte beispielsweise die Quelle der personenbezogenen Daten berücksichtigt werden und ob bei der Verarbeitung in der Entwicklungsphase ein Verstoß festgestellt wurde.
  • In Szenario 3 verarbeitet ein Verantwortlicher rechtswidrig personenbezogene Daten, um das KI-Modell zu entwickeln, und stellt anschließend sicher, dass diese anonymisiert werden, bevor derselbe oder ein anderer Verantwortlicher im Rahmen der Bereitstellung eine weitere Verarbeitung personenbezogener Daten initiiert. In dieser Hinsicht heißt es in der Stellungnahme, dass der EDSA der Auffassung ist, dass die DSGVO nicht anwendbar sei, wenn nachgewiesen werden kann, dass der anschließende Betrieb des KI-Modells keine Verarbeitung personenbezogener Daten beinhaltet. Daher sollte die Rechtswidrigkeit der ursprünglichen Verarbeitung keine Auswirkungen auf den anschließenden Betrieb des Modells haben. Darüber hinaus ist der EDSA der Auffassung, dass die DSGVO in Bezug auf diese Verarbeitungsvorgänge anwendbar wäre, wenn Verantwortliche anschließend personenbezogene Daten verarbeiten, die während der Bereitstellungsphase erhoben wurden, nachdem das Modell anonymisiert wurde. In diesen Fällen, so die Stellungnahme, sollte die Rechtmäßigkeit der in der Bereitstellungsphase durchgeführten Verarbeitung im Hinblick auf die DSGVO nicht durch die Rechtswidrigkeit der ursprünglichen Verarbeitung beeinflusst werden.

Fundstelle: Stellungnahme des EDSA vom 17. Dezember 2024 – abrufbar im Internet in englischer Sprache unter https://www.edpb.europa.eu/system/files/2024-12/edpb_opinion_202428_ai-models_en.pdf

nach oben